中國信通院：軟件開發包（SDK）安全與合規報告（2020）（75頁）.pdf

《中國信通院：軟件開發包（SDK）安全與合規報告（2020）（75頁）.pdf》由會員分享，可在線閱讀，更多相關《中國信通院：軟件開發包（SDK）安全與合規報告（2020）（75頁）.pdf（75頁珍藏版）》請在三個皮匠報告上搜索。

1、軟件開發包（SDK）安全與 合規報告 軟件開發包（SDK）安全與 合規報告 （2020）（2020） 中國信息通信研究院安全研究所 北京市環球律師事務所 2020 年 9 月 中國信息通信研究院安全研究所 北京市環球律師事務所 2020 年 9 月 版權聲明版權聲明 本報告版權屬于中國信息通信研究院、北京市環球律師 事務所，并受法律保護。轉載、摘編或利用其它方式使用本 報告文字或者觀點的， 應注明 “來源： 中國信息通信研究院、 北京市環球律師事務所”。違反上述聲明者，本院將追究其 相關法律責任。 本報告版權屬于中國信息通信研究院、北京市環球律師 事務所，并受法律保護。轉載、摘編或利用其它方式

2、使用本 報告文字或者觀點的， 應注明 “來源： 中國信息通信研究院、 北京市環球律師事務所”。違反上述聲明者，本院將追究其 相關法律責任。 編寫團隊編寫團隊 編寫單位： 中國信息通信研究院安全研究所 北京市環球律師事務所 編寫組成員：（姓氏筆畫為序） 陳湉、張淑怡、孟潔、秦博陽、薛穎、覃慶玲、魏亮 聯系人： 陳湉陳湉 電話：010-62308820 郵箱： 孟潔孟潔 電話：010-65846768 郵箱： 前言前言 我國移動互聯網市場經歷了將近 20 年的快速發展，已經形成了 龐大的產業規模，創造了可觀的經濟效益，并且在業務模式和商業模 式創新方面引領全球。同時，移動互聯網正在向傳統產業加速滲

3、透， 人工智能、大數據、物聯網等信息技術與實體經濟持續深度融合，不 斷催生傳統產業服務新業態，逐步改造著醫療、教育、交通、旅游、 金融、傳媒等傳統行業的服務模式。在此過程中，移動應用軟件，即 App，發揮了不可替代的入口作用，全天候、全方位深度參與到了廣 大網民日常生活的方方面面。 App 在提供各類便捷、高效、普惠服務的同時，也在無時不刻地 收集、使用用戶的個人信息，與 App 存在密切聯系的第三方軟件開發 包（SDK）收集個人信息問題也已經進入各方視野。2019 年下半年起 至 2020 年，不論是立法動態還是監管角度，均將 SDK 違法違規收集 個人信息作為審查的重點之一。 僻如，在立法

4、和國家標準制定方面，數據安全管理辦法（征求 意見稿）GB/T 35273-2020 信息安全技術 個人信息安全規范 網絡安全標準實踐指南 移動互聯網應用程序（App）中的第三方軟 件開發工具包（SDK）安全指引（征求意見稿）信息安全技術 個 人信息告知同意指南（征求意見稿）等國家標準的研究也開始涉及 第三方介入（包括 SDK）這一特定領域。 在監管方面，中央網信辦、工業和信息化部、公安部、市場監督 總局四部委組建的 App 專項治理工作組在全國范圍開展較大規模的 App 的審查與治理行動，從曝光的結果來看，不難看出已對 App 中嵌 入的違規 SDK 廠商， 采取了包括但不限于約談企業負責人、

5、 網上曝光、 App 下架等措施。該治理工作組在今年 5 月發布的App 違法違規收 集使用個人信息專項治理報告（2019），更是明確指出“第三方 SDK 自身的安全性，以及其收集使用個人信息行為，也成為移動生態 中個人信息保護的風險點建議將 SDK 收集使用個人信息行為納 入專項治理范圍，以促進 SDK 行業加強數據收集使用規范性”。由此 可見，2020 年，SDK 的合規性已經成為監管的重點。 并且，2020 年 3 月疫情期間爆出的 Zoom 接入 SDK 問題，2020 年 7 月“315”晚會曝光私自收集個人信息的 SDK 未經用戶許可竊取 個人信息問題，更是引發了公眾對 SDK 安

6、全與合規的極大關注。 特別地，2020 年 7 月中央網信辦、工業和信息化部、公安部、 國家市場監管總局四部門啟動 2020 年 App 違法違規收集使用個人信 息治理工作， 提到今年年度的治理重點時專門提到了對第三方 SDK 的 治理：制定發布 SDK 個人信息安全評估要點，對用戶規模大、問題反 映集中的小程序等進行深度評估。 本報告將在 2019 年版本的基礎上，進一步梳理當前應用較為廣 泛的第三方 SDK 類型和市場情況， 結合實際案例分析第三方 SDK 存在 的主要安全問題以及第三方SDK提供者與App開發者合作過程中面臨 的法律合規問題。 通過調研歐盟、 美國的相關經驗做法， 從法律

7、法規、 企業責任、技術標準、行業自律等方面結合我國實際情況提出了有針 對性的建議。 本報告 2020 年版比照 2019 年版的主要修訂在于： 更新了 2019 年至今監管層面、 國家標準層面針對 SDK 的規制； 更新了對 App 開發者嵌入第三方 SDK 的合規實踐建議； 更新了第三方 SDK 自身的合規實踐建議； 更新了第三方 SDK 產品最新的合規實踐案例。 目錄目錄 一、 第三方 SDK 的業內現狀.1 （一）第三方 SDK 常見類型及應用情況.1 （二） 第三方 SDK 安全標準化現狀.15 （三） 第三方 SDK 普遍應用的原因分析.17 二、第三方 SDK 的主要安全問題及分析

8、.18 （一）第三方 SDK 自身安全性不容樂觀.18 （二）第三方 SDK 成為病毒傳播新途徑.19 （三）第三方 SDK 隱蔽收集個人信息問題逐步顯現.19 三、第三方 SDK 的主要合規問題及分析.20 四、第三方 SDK 管理的域外經驗.23 （一）歐盟的第三方 SDK 管理經驗.23 （二）美國的第三方 SDK 管理經驗.28 五、針對我國第三方 SDK 管理的相關建議.33 （一）盡快完善相關法律法規，明確相關主體的責任義務.33 （二）APP開發者需要積極履行數據合規義務.35 （三）第三方 SDK 提供者需要加快構建數據安全合規體系.44 （四）加快完善 SDK 安全標準及指南

9、.47 （五）鼓勵第三方 SDK 企業開展行業自律.48 附錄第三方 SDK 產品的安全與合規實踐.49 （一）極光 SDK 的安全與合規實踐.49 （二）小米推送 SDK 的安全與合規實踐.57 （三）TALKINGDATASDK 的安全與合規實踐.61 圖 目 錄圖 目 錄 圖 1嵌入新浪微博 SDK 的 APP分布情況.5 圖 2嵌入支付寶 SDK 的 App 分布情況.6 圖 3嵌入極光推送 SDK 的 App 分布情況.9 圖 4嵌入 InMobi SDK 的 App 分布情況.11 圖 5各類型 App 嵌入 SDK 占比情況.14 圖 6App 中使用第三方 SDK 的數量分布圖

10、.15 圖 7SDK 通過 App 收集的數據類型統計.25 圖 8SDK 征得用戶同意方式的示例.40 圖 9App 內設計相關 SDK 的控制者和管理頁面.45 圖 10 極光 SDK 展示隱私政策示例一.51 圖 11 極光 SDK 展示隱私政策示例二.51 圖 12 極光 SDK 展示隱私政策示例三.52 圖 13 極光 SDK 展示隱私政策示例四.52 圖 14 TalkingData 內部數據分級管理策略.64 圖 15 數據生產/加工/訪問使用全流程工具化操作.65 圖 16 基于受眾的群體畫像能力輸出.66 表 目 錄表 目 錄 表 1常見第三方登錄分享類 SDK 應用情況統計

11、.4 表 2常見支付類 SDK 應用情況統計.5 表 3常見推送類 SDK 應用情況統計.7 表 4常見廣告類 SDK 應用情況統計.9 表 5常見數據分析類 SDK 應用情況統計.11 表 6常見地圖類 SDK 應用情況統計.12 軟件開發包（SDK）安全與合規報告（2020） 1 一、第三方 SDK 的業內現狀 據中國互聯網絡信息中心（CNNIC）統計數據顯示，截至 2020 年 3 月，我國手機網民規模已達 9.04 億，網民通過手機接入互聯網的 比例高達 98.6%。隨著移動互聯網的發展、智能手機的不斷普及，移 動互聯網應用程序（App）得到廣泛應用。據工信部統計數據顯示， 截至 20

12、19 年 12 月，我國市場上監測到的 App 總量達到 367 萬款，第 三方應用商店分發累計數量超過 9502 億次，游戲類、系統工具類、 影音播放類、 社交通訊類、 日常工具類 5 類 App 下載量均超過千億次。 移動互聯網服務便捷、即時、普惠的特點，在 App 應用中得到充分體 現，部分 App 甚至已成為廣大用戶生活中的“必需品”。 由于移動互聯網市場的快速迭代，高科技產品飛速更新，App 開 發者為了提升效率、降低成本，往往會在開發過程中嵌入第三方代碼 （SDK 開發包）和插件等。本章將從常見類型、應用情況、主要特點 等方面對 SDK 的業內現狀進行介紹，詳細分析其被廣泛使用的原

13、因。 （一）第三方 SDK 常見類型及應用情況（一）第三方 SDK 常見類型及應用情況 SDK 是 Software Development Kit 的縮寫，即“軟件開發工具 包”。簡單來看，它是輔助開發某一類應用軟件的相關文檔、范例和 工具的集合。對 App 來說，為了提高開發效率，可以將某項功能交給 第三方來開發，第三方服務提供商將服務封裝為工具包（即 SDK）供 開發者使用。目前，SDK 類型主要包括：第三方登錄分享類、支付類、 推送類、廣告類、數據統計分析類、地圖類、風控插件以及一些基礎 軟件開發包（SDK）安全與合規報告（2020） 2 庫等。 1. 常見第三方 SDK 類型 按照第

14、三方SDK能夠幫助App開發者實現的具體功能不同進行區 分，其中較為常見、與用戶交互程度較強的主要有以下 6 類 SDK。 （1）第三方登錄分享類（1）第三方登錄分享類 第三方登錄分享類 SDK 主要用于簡化用戶登錄流程， 為用戶使用 已有的第三方帳號進行登錄提供便利， 同步幫助 App 構建自己的帳號 登錄體系。作為一種功能較為基礎的 SDK，第三方登錄分析類 SDK 被 各類 App 廣泛使用。 （2）支付類（2）支付類 據國家信息中心 2019 年發布的中國移動支付發展報告數據 顯示，截至 2018 年上半年，我國移動支付用戶規模約為 8.9 億，移 動支付交易規模已超過 277 萬億元

15、。隨著移動支付的普及應用，支付 功能越來越成為各類 App 的普遍需求。支付類 SDK 幫助開發者在 App 中進行了支付功能的集成，為用戶提供購物、充值、付款、退款等相 關功能。 （3）推送類（3）推送類 推送類SDK幫助App開發者向其用戶實時推送通知或者消息， 與用 戶保持互動， 從而有效地提高用戶留存率， 提升用戶體驗。 推送類SDK 可實現基于用戶活躍情況、 設備屬性、 地理位置等不同用戶群的推送。 推送形式包括狀態欄通知、自定義消息、本地通知等，內容可涵蓋新 聞資訊、日程提醒、活動預告、新版本更新等。 軟件開發包（SDK）安全與合規報告（2020） 3 （4）廣告類（4）廣告類 據

16、中國互聯網發展報告 2020顯示，2019 年網絡廣告市場規 模達 4341 億。隨著移動廣告紅利時代的到來，App 開始接入廣告相 關 SDK 的情形越發普遍， 廣告類 SDK 對各類廣告形式的支持情況也已 成為影響移動開發者收入、操作等的關鍵因素之一。 （5）統計分析類（5）統計分析類 數據統計分析類 SDK 可以幫助 App 開發者統計和分析流量來源、 內容使用、用戶屬性和行為數據等，以便 App 開發者利用數據進行產 品、運營、推廣策略的決策。 （6）地圖類（6）地圖類 地圖類 SDK 幫助 App 集成地圖顯示、交互等相關服務，以便用戶 在使用 App 時在應用中訪問相關地圖數據，輕

17、松實現相關功能，并在 此基礎上完成基于自身場景的更深層、更個性化的開發需求。 2. 常見第三方 SDK 應用情況統計 為了對第三方 SDK 的應用情況進行進一步了解， 本章節按類別梳 理、總結了一些常見第三方 SDK 類別的應用情況1。 （1）第三方登錄分享類（1）第三方登錄分享類 第三方登錄分享類 SDK 主要以主流即時通訊或社交類企業推出 的 SDK 為主，常見的類型主要有微信登錄分享、微博登錄分享、QQ 登錄分享等。嵌入此類 SDK 的 App 往往既包括 App 本身，也涉及 App 的同一母公司旗下其他產品，還包括其他各類 App（如新聞資訊、視 1 相關信息梳理來自各 SDK 官網

18、或開發者平臺。 軟件開發包（SDK）安全與合規報告（2020） 4 頻、旅游出行等），具體情況詳見表 1。 表 1 常見第三方登錄分享類 SDK 應用情況統計 SDK 名稱名稱主要業務功能主要業務功能簡要介紹簡要介紹 嵌入此類嵌入此類 SDK 的的 App 微信登錄分享 使用微信帳號快速登 錄第三方平臺或 App。 接入微信登錄，實現微 信帳號快速登錄，一鍵 連接。 普遍應用在 各類App中。 微博登錄分享 使用微博帳號快速登 錄網站或第三方 App， 分享內容，同步信息。 滿足了多元化移動終 端用戶隨時隨快速登 錄、分享信息的需求。 普遍應用在 各類App中。 QQ 登錄分享 使用 QQ 帳

19、號快速登 錄網站或第三方平臺。 用戶使用已有的 QQ 號 碼即可登錄移動應用， 可減少登錄交互操作， 簡化用戶注冊流程。 普遍應用在 各類App中。 以新浪微博 SDK 為例，該 SDK 被廣泛嵌入在各類 App 中，生活服 務、游戲和金融行業 App 中嵌入該 SDK 的情況最為普遍，三者合計占 比 44.61%。具體分布情況如圖 1 所示： （數據來源：北京智游網安科技有限公司（愛加密） 圖1 嵌入新浪微博SDK的App分布情況 軟件開發包（SDK）安全與合規報告（2020） 5 （2）支付類（2）支付類 支付類 SDK 通常提供的功能較為單一。 目前常見的支付類 SDK 主 要包括銀聯支

20、付、支付寶支付、微信支付以及各個大銀行自己獨有的 支付 SDK 等。嵌入此類 SDK 的，除了各類電商購物平臺及相關旅游出 行類 App 外，還包括其他設置了充值、付款、退款等功能的各類 App， 具體情況詳見表 2。 表 2 常見支付類 SDK 應用情況統計 SDK 名稱名稱主要業務功能主要業務功能簡要介紹簡要介紹 嵌入此類嵌入此類 SDK 的的 App 銀聯支付 跳轉銀聯頁面完成支付 信息錄入，最終完成支 付。 綜合性互聯網支付 工具， 主要支持輸入 卡號付款、 用戶登錄 支付、網銀支付、迷 你付 （IC 卡支付） 等 多種支付方式。 普遍應用在各 類設置了支付 場景的 App 中。 微信

21、支付 通過點擊微信付款碼支 付，或掃描二維碼支付 等功能。 綜合性互聯網支付 工具。 普遍應用在各 類設置了支付 場景的 App 中。 支付寶支付 通過二維碼面對面支 付、小程序支付、花唄 分期等多種支付功能。 綜合性互聯網支付 工具。 普遍應用在各 類設置了支付 場景的 App 中。 以支付寶 SDK 為例， 該 SDK 被廣泛嵌入在各類設置了支付場景的 App 中，以游戲和生活服務行業最為廣泛，分別有 38.85%與 24.09% 的支付寶 SDK 嵌入了該類 App。具體分布情況如圖 2 所示： 軟件開發包（SDK）安全與合規報告（2020） 6 （數據來源：北京智游網安科技有限公司（愛

22、加密） 圖2 嵌入支付寶SDK的App分布情況 （3）推送類（3）推送類 推送類 SDK 因其多強調交互式體驗的特點， 廣泛應用于與用戶互 動的場景中，目前常見的推送類 SDK 主要有小米推送、百度云推送、 個推推送、極光推送、Mob 推送等。嵌入此類 SDK 的 App 包括新聞資 訊、社交、地圖、健康醫療、旅游出行類等 App，具體情況見表 3。 表 3 常見推送類 SDK 應用情況統計 SDK 名稱名稱主要業務功能主要業務功能簡要介紹簡要介紹 嵌入此類嵌入此類 SDK 的的 App 小米推送 主要實現消息推送 功能。 通過在云端與客戶端 之間建立一條穩定、 可 靠的長連接， 為開發者 提

23、供向客戶端應用實 時推送消息的服務， 有 效地幫助開發者觸達 用戶，提升 App 活躍 百度地圖、快 手、 今日頭條、 愛奇藝、 淘寶、 支付寶、 UC 瀏 覽器、QQ 音 樂、 高德地圖、 拼多多、QQ 軟件開發包（SDK）安全與合規報告（2020） 7 度。瀏覽器、滴滴 出行、酷狗音 樂等。 百度云推送 推送聊天消息、日程 提醒、活動預告、動 態、新版本更新等功 能。 一站式 App 信息推送 平臺， 為企業和開發者 提供免費的消息推送 服務， 開發者可以通過 云推送向用戶精準推 送通知和自定義消息 以提升用戶留存率和 活躍度。 手機百度、百 度地圖、愛奇 藝、螞蜂窩、 聚美優品、我 查查

24、、 虎嗅網、 當當網等。 極光推送 多種消息類型、用戶 和推送統計、短信補 充、A/B 測試、可定 制的私有云等功能。 為超過 50 萬移動開發 者和145.2萬款移動應 用提供服務， 其開發工 具包 （SDK） 安裝量累 計 336 億， 月度獨立活 躍移動終端13.6億部。 珍愛網、酷狗 鈴聲、浮浮雷 達、福建移動 （八閩生活） 、 格力、廣州地 鐵、順豐、土 巴兔、探探、 快看漫畫、汽 車之家、網易 新聞、 搬運幫、 墨跡天氣、翼 支付、 去哪兒、 平安好醫生、 銀聯商務等。 個推推送 向其用戶推送各類 消息，結合精準的用 戶畫像分析，給合適 的用戶在合適場景 下推送合適的內容。 各行業

25、提供大數據解 決方案， 服務于數十萬 App，覆蓋數十億移動 終端。 人民日報、新 華社、CCTV、 新浪微博、京 東、 網易新聞、 滴滴出行等。 Mob 推送 Sharesdk、Smssdk、 Moblink、Mobpush、 秒驗、mob 云驗證等 以數據應用為主導， 融 合大數據、 云計算、 人 工智能等技術，SDK 綠地集團、龍 珠直播、無他 相機、中國電 軟件開發包（SDK）安全與合規報告（2020） 8 功能。下載數量超 370 萬， 日 活用戶超 2.5 億。 信等。 以極光推送SDK為例，極光推送SDK嵌入的App主要集中在金融和 生活服務類App，比例接近一半。具體分布情況如

26、圖3所示： （數據來源：北京智游網安科技有限公司（愛加密） 圖3 嵌入極光推送SDK的App分布情況 （4）廣告類（4）廣告類 廣告類 SDK 提供的服務多為程序化廣告， 用以實現精準營銷和推 廣。目前，國內市場上提供移動廣告相關的 SDK 平臺眾多，主流的有 廣點通、多盟、TalkingData、有米等。由于 App 普遍具有廣告投放 推廣需求，嵌入廣告類 SDK 的 App 涵蓋多個類別，具體情況見表 4。 表 4 常見廣告類 SDK 應用情況統計 軟件開發包（SDK）安全與合規報告（2020） 9 SDK 名稱名稱主要業務功能主要業務功能簡要介紹簡要介紹 嵌入此類嵌入此類 SDK 的的

27、App 廣點通 主要實現廣告 投 放 相 關 功 能。 為 App 開發者提供廣點 通投放系統，通過廣點 通，用戶可在平臺多個廣 告位上進行應用以及應 用活動相關的精準推廣。 歡樂淘、楚楚街、 滬江教育、媽媽 圈、十句話戰仙、 神仙道、時空獵 人、美麗說等。 多盟 主要實現廣告 投放、營銷等 相關功能。 專注移動智能營銷，提供 程序化廣告、數據營銷、 代理廣告等服務。 中國銀行、渣打 銀行、中國電信、 招商銀行、中國 移動等。 TalkingData 主要實現應用 統計分析、游 戲運營分析、 小程序統計分 析等功能。 以 SmartDP 為核心的數 據智能應用生態為企業 賦能，幫助企業逐步實現

28、 以數據為驅動力的數字 化轉型。 騰訊、百度、網 易、搜狐、360、 Google 、 Yahoo 等。 有米 主要實現廣告 推廣功能。 提供 App 推廣、ASO 優 化、出海營銷、整合營銷 以及廣告數據洞察等專 業服務， 滿足游戲、 電商、 網服、教育、美妝等行業 客戶的推廣需求。 封面新聞、晶報 傳媒、網易智造、 Kappa 、溢 米輔 導、龍之谷等。 InMobi 主要實現個性 化廣告功能。 全球化的移動廣告平臺， 覆蓋超過15 億移動設備， 每月廣告請求超過 2000 億。 天使紀元、少年 三國志、狂暴之 翼等。 以 InMobi SDK 為例，嵌入該 SDK 的 App 中，6 成

29、以上分布在游 戲行業；其次是生活服務行業，占有 13.91%。具體分布情況如圖 4 所示： 軟件開發包（SDK）安全與合規報告（2020） 10 （數據來源：北京智游網安科技有限公司（愛加密） 圖4 嵌入 InMobi SDK的App分布情況 （5）統計分析類（5）統計分析類 數據統計分析類 SDK 作為一類較不易為用戶感知的 SDK，對 App 的運營和統計分析提供支撐作用。目前，常見的數據統計分析類 SDK 包括友盟、海度云、貴士移動等。嵌入此類 SDK 的 App 也廣泛來自各 領域，且不乏各領域的頭部 App，具體情況見表 5。 表 5 常見數據分析類 SDK 應用情況統計 SDK 名

30、稱名稱主要業務功能主要業務功能簡要介紹簡要介紹 嵌入此類嵌入此類 SDK 的的 App 友盟 主要包括移動統 計、應用統計、 游戲統計、移動 廣 告 監 測 等 功 能。 結合實時更新的全域數據 資源，挖掘出 15,000+客群 標簽、輸出 300+應用或行 業的分析指標，通過 AI 賦 能的一站式互聯網數據產 品與服務體系。 微博、阿里 云 、 Kantar Worldpanel、 優酷、邁外 迪、酷云互 動、訊碼科 技、云房數 據、飛豬、 Marketin、淘 軟件開發包（SDK）安全與合規報告（2020） 11 票票、PP 助 手、釘釘、豌 豆莢、 掌慧縱 盈等。 貴士移動 TRUTH

31、移 動 互 聯網標準數據庫 系列、 TRUTH-Plus生 態 流 量 服 務 、 DATAMINING 數據挖掘分析服 務。 幫助客戶了解市場發展趨 勢和行業競爭格局， 通過理 解用戶特征和全景畫像優 化自身運營效率， 另一方面 也可以幫助客戶前瞻性地 發現市場機會， 找到具有增 長潛力的賽道和值得投資 的領域。 百度、 螞蟻金 服、中國平 安、順豐速 運、騰訊、華 為、 蘇寧易購 等。 海度云 主要包括移動應 用統計、網站統 計、渠道分析等 功能。 幫助客戶了解市場發展趨 勢和行業競爭格局， 優化自 身運營效率， 幫助客戶發現 市場機會， 日接受移動數據 量超過 150 億。 YY、ME

32、直 播 、 100 教 育、環球網 校、無憂英 語、邢帥教 育、 閑趣網絡 等。 （6）地圖類（6）地圖類 地圖類 SDK 幫助開發者實現地圖數據的調用及相關服務的實現。 目前，常見地圖類 SDK 主要包括百度地圖、高德地圖、騰訊地圖等。 嵌入此類 SDK 的 App 多為旅游出行、電商購物、物流、外賣等，具體 情況見表 6。 表 6 常見地圖類 SDK 應用情況統計 SDK 名稱名稱主要業務功能主要業務功能簡要介紹簡要介紹 嵌入此類嵌入此類 SDK 的的 App 百度地圖 主要有地圖、定位、搜 索、軌跡、導航、路線 提供手機端、PC 端、 智能穿戴設備的地圖 摩拜單車、e 袋洗、點到、 軟件

33、開發包（SDK）安全與合規報告（2020） 12 規劃、路況等功能。展示能力，在多個行 業場景中可以配置個 性的地圖展示效果。 德邦、蘇寧易 購、貨拉拉、 唯品會等。 高德地圖 主要有地圖、定位、導 航、路線規劃、搜索、 自定義地圖和數據可視 化等功能。 LBS 服務提供商，服 務超過三十萬款移動 應用，日均處理定位 請求及路徑規劃數百 億次。 首汽約車、易 到、 神州專車、 曹操專車、嘀 嗒出行、餓了 么等。 騰訊地圖 主要有定位、 地圖展示、 地點搜索、路線規劃、 導航和室內圖等功能。 基于 Android 4.1 及以 上版本設備的應用程 序接口， 通過該接口， 可以輕松的使用騰訊 地圖

34、定位服務。 京東、中國郵 政、新達達、 匯通天下、滴 滴出行、美團 外賣、 快手等。 3. 第三方 SDK 的應用特點分析 從第三方 SDK 應用情況來看，主要呈現以下三個特點： 一是 App 使用第三方 SDK 已成為普遍現象。根據愛加密發布的 2020 年 Q1 全國移動 App 安全態勢研究報告 ， 截至 2020 年 3 月底， 愛加密大數據中心已收錄 Android 應用超過 315 萬款， iOS 應用超過 300 萬款，其中 29.46%的應用嵌入了 SDK，近 5 成都是框架類 SDK。 從嵌入第三方 SDK 的 App 所處行業類型來看，游戲類嵌入 SDK 的 App 數量最

35、多，占比為 23.85%，其次是生活服務類 App，占比為 18.16%； 位列第三的是教育類 App，占比為 15.46%，詳見圖 52?？梢哉f，SDK 已成為與 App 相生相依的重要伙伴， 也同時成為了整個移動互聯網生 態中極其關鍵的一環。 2 愛加密 2020 年 Q1全國移動 App 安全態勢研究報告。 軟件開發包（SDK）安全與合規報告（2020） 13 圖5 各類型App嵌入SDK占比情況 二是各類別App平均使用第三方SDK的數量在10個以上。 隨著第三 方SDK種類及數量的不斷增多， 不少App開發者由于開發時間和成本有 限，大量使用第三方SDK進行代碼集成。如圖6所示，根據

36、CSDN社區專 業人士利用SDK分析工具，針對1000多款主流App使用SDK情況得出的 統計數據 3，各類別App使用第三方SDK平均在10個以上，最高可達平 均30.6個/類。平均使用第三方SDK個數超過20個的App類型有8類。 3 2019 年 7 月 20 日。 軟件開發包（SDK）安全與合規報告（2020） 14 （數據來源：CSDN“IT東”博客的SDK分析工具） 圖6App中使用第三方SDK的數量分布圖 三是第三方SDK功能逐漸多樣化，應用于不同領域的大量App中。 目前，市場上的第三方SDK提供者已不再局限于開發功能單一的SDK， 而是將SDK功能從縱向和橫向不斷延伸，從而應

37、用于不同領域的大量 App中。 以推送類SDK提供者為例， 除了不斷完善基于用戶畫像的實時、 智能、多場景下的精準推送外，往往會同步對產品運營情況進行統計 分析，幫助App進行產品優化升級，甚至部分SDK提供者還同步推出了 登錄驗證功能。隨著第三方SDK功能的不斷強大并逐漸多樣化，其應 用市場的規模將持續擴大，市場前景持續看好?？梢哉f，第三方SDK 已成為事實上鏈接各類業務功能App的數據樞紐，有機會獲取來自各 類App不同業務場景下多類別的個人信息。 軟件開發包（SDK）安全與合規報告（2020） 15 （二）第三方 SDK 安全標準化現狀（二）第三方 SDK 安全標準化現狀 1已發布標準情

38、況 目前，涉及第三方SDK安全的，比較有代表性的標準包括國家標 準GB/T 35273-2020 信息安全技術 個人信息安全規范，以及金 融行業標準JR/T 0171-2020 個人金融信息保護技術規范。 國家標準GB/T 35273-2020 信息安全技術 個人信息安全規范 第 9.6 條要求： “如個人信息控制者在提供產品或服務的過程中部署 了收集個人信息的第三方插件（例如，網站經營者與在其網頁或應用 程序中部署統計分析工具、軟件開發工具包 SDK、調用地圖 API 接 口），且該第三方并未單獨向個人信息主體征得收集個人信息的授權 同意， 則個人信息控制者與該第三方在個人信息收集階段為共同

39、個人 信息控制者”。 金融行業標準JR/T 0171-2020 個人金融信息保護技術規范 第6.1.4.2條h）項要求使用外部嵌入或接入的自動化工具（如代碼、 腳本、 接口、 算法模型、 軟件開發工具包等） 進行信息共享與轉讓時， 應定期檢查或評估信息共享工具、 服務組件和共享通道的安全性和可 靠性，并留存檢查或評估結果記錄；第6.1.4.4條f）項要求應對外部 嵌入或接入的自動化工具（如代碼、腳本、接口、算法模型、軟件開 發工具包等）開展技術檢測，確保其個人金融信息收集、使用行為符 合約定要求；并對其收集個人金融信息的行為進行審計，發現超出約 定行為及時切斷接入。 第6.2.3條則對與個人金

40、融信息相關的SDK應當 符合的安全要求作出了規定： 與個人金融信息相關的客戶端應用軟件 軟件開發包（SDK）安全與合規報告（2020） 16 及應用軟件開發工具包 （SDK） 應符合JR/T 0092-2019、 JR/T 0068-2020 客戶端應用軟件有關安全技術要求，并在上線前進行安全評估。 2020年3月信安標委秘書處發布的網絡安全標準實踐指南移 動互聯網應用程序（App）收集使用個人信息自評估指南中也強調 根據消費者權益保護法第29條規定，經營者收集、使用消費者個 人信息，“應當公開其收集、使用規則”， App開發者則應“逐一列 出App（包括委托的第三方或嵌入的第三方代碼、插件）

41、收集使用個 人信息的目的、方式、范圍等”，特別是“如App嵌入了第三方代碼、 插件（如SDK）收集個人信息，應說明第三方類型，以及收集個人信 息的目的、類型、方式，說明方式包括隱私政策、彈窗提示、文字備 注、文本鏈接等。如委托的第三方或嵌入的第三方代碼、插件直接將 個人信息傳輸至境外的，應明確說明跨境傳輸個人信息的目的、類型 和接收方等?！倍鳶DK作為目前市場上App中最為常見的第三方接入方 式，也應適用于上述規范性文件中關于第三方的規定。 2在研標準情況 自去年以來，第三方SDK安全受到各方關注，專門研究第三方SDK 安全的標準項目也相繼啟動。通信行業標準方面，2019年共立項兩個 相關行業標準項目，分別是移動應用軟件SDK安全技術要求和測試 方法和移動應用SDK安全指南，前者在移動應用軟件SDK安全威 脅的基礎上，依據國家相關法規，結合移動應用軟件和第三方SDK行 業發